Hvad er Standard Contractual Clauses (SCC’er)?
Standard Contractual Clauses (SCC’er) er kort fortalt en kontrakt bestående af standardbestemmelser mellem en dataeksportør i EU/EØS og en dataimportør uden for EU/EØS - en dataeksportør såvel som en dataimportør kan både være dataansvarlig og databehandler. Standardkontrakten har til formål at sikre, at dataimportøren behandler de overførte oplysninger i overensstemmelse med det beskyttelsesniveau vi har i EU/EØS.
Hvorfor er der brug for nye SCC’er?
Arbejder du med internationale standardkontrakter, har du højest sandsynligt bemærket, at GDPR-reglerne fra 2018 har medført en række udfordringer i forbindelse med overførsler til tredjelande, altså lande uden for EU/EØS. Det skyldes, at overførsler af personoplysninger til tredjelande skal være sikret en beskyttelse på niveau med EU’s persondatabeskyttelse. De tidligere SCC’er har imidlertid ikke levet op til det påkrævede beskyttelsesniveau de seneste år.
Med GDPR-reglerne fra 2018 og EU-domstolens afgørelse i Schrems II-sagen i 2020 har der været et stigende ønske for såvel virksomheder som EU-Kommissionen om at opdatere og modernisere SCC’erne, så de igen kan bruges som lovligt grundlag for dataoverførsler mellem EU/EØS og tredjelande.
Hvad er ændret i de nye SCC’er?
De nye SCC’er er opdateret, så de både i ordlyd og indhold er i overensstemmelse med GDPR og den øvrige udvikling inden for databeskyttelse. Samtidig er de gjort mere fleksible, så det fx er muligt at tilføje bestemmelser til dem. Det er dog vigtigt, at eventuelle supplerende bestemmelser ikke er i strid med kontraktens standardvilkår.
Hvor de tidligere SCC’er bestod af to seperate aftaledokumenter – overførsler fra en dataansvarlig til en anden dataansvarligt samt overførsler fra en dataansvarlig til en databehandler – består de nye SCC’er kun af ét omfattende aftaledokument, som kan tilpasses den aktuelle overførselssituation.
Det nye aftaledokument omfatter følgende overførselsscenarier (hvoraf de to sidste er nye ift. de tidligere SCC’er):
- dataansvarlig til dataansvarlig
- dataansvarlig til databehandler
- databehandler til databehandler
- databehandler til dataansvarlig
Foruden at sikre en beskyttelse af personoplysninger, som lever op til beskyttelsesniveauet i EU, indeholder de nye SCC’er også en ”docking-klausul”. Denne docking-klausul gør det muligt at ændre i aftalens parter uden at skulle indgå en helt ny aftale. Det kan fx være relevant, hvis en underdatabehandler skal tilslutte sig aftalen.
Med de nye SCC’er bliver det altså muligt at tilføje nye foranstaltninger og bestemmelser løbende. Det betyder fx, at det bliver muligt for tredjeparter at tilslutte sig aftalen på et senere tidspunkt. Vil du tilføje en ekstra bestemmelse skal du:
- Sikre at du ikke ændrer i kontraktens standardbestemmelser
- Sikre at tilføjelsen ikke er i konflikt med SCC’erne og EU’s Charter om grundlæggende rettigheder
Hvad betyder de nye SCC’er for internationale dataoverførsler?
De nye SCC’er medfører en række krav og muligheder, du som dataeksportør skal efterleve, når du laver internationale dataoverførsler.
Pligt til at vurdere om SCC’erne giver en effektiv beskyttelse
Som dataeksportør er du forpligtet til at vurdere, om SCC’en giver en effektiv beskyttelse af de personoplysninger, der er omfattet af overførslen. Dette er en kompliceret opgave, som fx indebærer, at du skal vurdere om lovgivningen i det tredjeland, der overføres personoplysninger til, har et beskyttelsesniveau på niveau med GDPR. Hvis ikke dette er tilfældet, skal der iværksættes supplerende foranstaltninger.
Supplerende foranstaltninger
Hvis det vurderes, at SCC’en ikke i sig selv giver tilstrækkelig sikkerhed, skal der iværksættes supplerende foranstaltninger. Disse foranstaltninger kan både være tekniske, organisatoriske og kontraktvilkår. Det er vigtigt at være opmærksom på, at man også løbende skal holde øje med om forholdene i tredjelandet ændrer sig, og om nødvendigt skal man justere de supplerende foranstaltninger.
Som dataeksportør kan det være vanskeligt at foretage denne vurdering af reglerne i et fremmed land, og man kan derfor foretage en vurdering i samarbejde med dataimportøren. Et af de forhold man skal vurdere, er om lovgivningen og praksis i modtagerlandet giver myndigheder adgang til personoplysninger.
Er du i tvivl om, hvorvidt du skal supplere SCC’erne med ekstra foranstaltninger, kan du rådgive dig med en af Advodans erhvervsjurister med speciale i GDPR.
Hvornår træder de nye SCC’er i kraft?
I forbindelse med implementeringen af de nye SCC’er er der en overgangsperiode, der løber frem til december 2022. Det betyder, at kontrakter der er indgået på baggrund af de tidligere SCC’er inden den 27. september 2021, fortsat kan anvendes frem til den 27. september 2022. Databehandlingen kan i tilfælde af dette forblive uændret, forudsat det vurderes, at beskyttelsesniveauet svarer til det niveau, der er i EU. Hvis dataeksportører har anvendt de tidligere SCC’er, skal man sørge for at indgå en ny aftale på baggrund af de nye SCC’er inden udgangen af overgangsperioden.
Det anbefales dog, at man allerede nu begynder at tage de nye SCC’er i brug.
Har du brug for hjælp til at komme i gang med de nye SCC’er?
Det kan virke som en uoverskuelig opgave at sætte sig ind i de nye regler omkring standardaftaler for overførsler af personoplysninger til tredjelande. Hos Advodan kan vores erhvervsjurister hjælpe dig med at komme godt i gang med at bruge de nye SCC’er.
Vi kan bl.a. hjælpe med følgende:
- Vurdere om SCC’er er det rette overførselsgrundlag
- Bistå ved indgåelse af SCC og eventuelle tilhørende databehandleraftale
- Vurdere om der er behov for supplerende foranstaltninger og eventuelt hvilke
- Vurdere om det pågældende tredjeland er et såkaldt sikkert tredjeland
- Bistå med at opfylde oplysningspligten overfor de personer, hvis oplysninger er omfattet af overførslen til et tredjeland.
0 kommentar